.mil top-level domein laat zijn DNSSEC-handtekening verlopen

Gepubliceerd op 10-01-2013

Eervorige week heeft het Amerikaanse Ministerie van Defensie de DNSSEC-handtekening voor het .mil-domein laten verlopen. Als gevolg daarvan waren de systemen onder dit top-level domein een dag lang niet meer bereikbaar voor clients die gebruikmaken van een validerende resolver. In een wereld waarin DNSSEC -validatie volledig was geïmplementeerd, had deze fout betekend dat het volledige .mil-domein onbereikbaar zou zijn geworden.

Wie op tweede kerstdag ergens op het .mil-domein moest zijn, kreeg deze verlopen records terug van de DNS -servers:

mil.                    11585    IN    SOA      CON1.NIPR.mil. HOSTMASTER.NIC.mil. 2012122101 3600
900 1209600 10800
mil.			21600    IN    RRSIG    SOA 8 1 21600 20121226190349 20121221190349 6510
mil. wg+5tQW12lYQPVCORekGELxZenqhxX2IWDoL/vfK36n/OOmXLJZz8Rdj
jQjKkKx85tZMmOy5f+i+DZLf3o56u6Vopo1elMHg/bWCjDT+VYs67WLd
gcYfLvS+iuEP8sIwRCnGHBfHiQggM5YnD48CSrz0lo2h1DFT+bYYAsxN sbJ7dSA=

Systemen die gebruikmaken van een validerende resolver konden daardoor vanaf woensdag 26 december een dag lang niet terecht bij .mil-domeinen die met DNSSEC zijn beveiligd. Als ergens in de vertrouwensketen (chain of trust) een digitale handtekening (een RRSIG record) is verlopen, zijn immers ook alle onderliggende DNS records niet meer geldig.

Blunder?

Gebruik van het .mil top-level domein (TLD) is voorbehouden aan het Amerikaanse militaire apparaat en daaraan gelieerde organisaties. Het domein werd ruim een jaar geleden ondertekend, als een van de laatste van de originele zeven TLD's.

Hoewel je mag verwachten dat het Amerikaanse Ministerie van Defensie groot belang hecht aan zowel de beveiliging van zijn infrastructuur als de bereikbaarheid van zijn servers, is het maar de vraag of dit als een ernstige blunder mag worden gezien. Dat dit precies in de week tussen kerst en oud- en nieuw gebeurde, is vast niet toevallig. Zoals Bert Hubert, de lead developer van PowerDNS, onlangs op SIDN's relatiedag vertelde heeft elk TLD de afgelopen jaren wel een keer soortgelijke problemen ondervonden met zijn DNSSEC-operatie.

Robuuste operatie

In een wereld waarin DNSSEC-validatie volledig was geïmplementeerd, had deze fout betekend dat het volledige .mil-domein onbereikbaar zou zijn geworden. De validatie van DNSSEC op de caching DNS-servers van de ISP's komt echter nu pas langzaam op gang. Dat betekent wel dat TLD-beheerders de tijd die hen nog rest moeten gebruiken om hun operatie zo robuust mogelijk te maken en zo veel mogelijk waarborgen in te bouwen om dit soort ernstige incidenten te voorkomen.

Terug naar het nieuwsoverzicht